Splunk製品の脆弱性に注意 CVSSスコアは8.8
Splunkは「Splunk Enterprise」と「Splunk Cloud Platform」に特権昇格の脆弱性が存在すると伝えた。
Splunkは2023年6月1日(現地時間)、SIEM(Security Information and Event Management)ソリューション「Splunk Enterprise」および「Splunk Cloud Platform」に特権昇格の脆弱(ぜいじゃく)性が存在すると伝えた。
該当製品を使用している場合、直ちに内容を確認するとともに迅速にアップデートを適用してほしい。
CVSSスコア値は8.8 迅速なアップデートの適用を
今回見つかった脆弱性はCVE-2023-32707として追跡されており、悪用されると権限レベルの低いユーザーが細工したWebリクエストを使うことで特権ユーザーに昇格できるとされている。共通脆弱性評価システム(CVSS)v3.1のスコア値は8.8で、深刻度は「High」(重要)と位置付けられている。
脆弱性の影響を受けるバージョンは以下の通りだ。
- Splunk Enterprise 8.1.0から8.1.13までのバージョン
- Splunk Enterprise 8.2.0から8.2.10までのバージョン
- Splunk Enterprise 9.0.0から9.0.4までのバージョン
- Splunk Cloud Platform 9.0.2303およびこれより前のバージョン
脆弱性が修正されたバージョンは以下の通りだ。
- Splunk Enterprise 8.1.14
- Splunk Enterprise 8.2.11
- Splunk Enterprise 9.0.5
- Splunk Cloud Platform 9.0.2303.100
特権昇格は「edit_user」機能が割り当てられたロールのユーザーが対象となっている。Splunkによると、edit_user機能が設定ファイル「authorize.conf」の設定項目「grantableRoles」を考慮した処理を行っていなかったことが脆弱性の原因とされている。
緩和方法や回避方法としては、管理者ユーザーやそれに相当するユーザー以外にedit_user機能を割りてないようにすることが推奨されている。他のロールから継承したロールにedit_user機能が入っていないことや、権限が低いユーザーにedit_user機能を割り当てていないことも確認が求められている。
関連記事
- サイバー攻撃の検出期間が2.24カ月へ拡大 日本企業の対応は?
Splunkがセキュリティ調査結果を報告した。サイバー攻撃の検出期間が長くなり、リスクの高い状況が続いている。また、企業は対策強化のためセキュリティ予算を増額しているようだ。 - オブザーバビリティに先進的な日本企業はわずか1% Splunk調査
Splunkの調査では、日本がオブザーバビリティの分野で遅れが目立つこと、高いオブザーバビリティを持つ組織がダウンタイムの解決や問題検出、修復時間の短縮などで優れた成果を挙げていることなどが判明した。 - アラート地獄で疲弊する現場 TenableとSplunkの協業はこれをどう解消するか?
TenableとSplunkは戦略的パートナーシップを発表した。これによって、セキュリティツールのアラート対応などに悩む担当者の業務効率化を実現する機能アップデートが提供される見込みだ。 - EDR導入だけで“やった気になる”のは危険 攻撃者視点で講じるセキュリティ対策
サイバー攻撃から自社を守るためには、エンドポイントセキュリティの構築が必要不可欠だ。もちろん多くの企業がこれを理解しているが、EDR製品などを導入するだけで満足してしまうケースもある。攻撃者視点で考える本当に有効な防御策とは。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.